也想出现在这里? 联系我们

手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密

作者 : 小编 本文共3596个字,预计阅读时间需要9分钟 发布时间: 2021-06-22 共1.99K人阅读
也想出现在这里? 联系我们

【脱文动画】http://cnxhacker.net/donghua/crack/200607/245.html

【脱文标题】 手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,ImportREC1.6f,Loadpe

【脱壳平台】 Win2K/XP

【软件名称】 IMCaster ICQ E-Marketer

【软件简介】 IMCaster ICQ E-Marketer是一个强大的ICQ即时信息查找工具。你可以根据不同的条件(如:性别、年龄、国家或者职业等等)搜索在线ICQ用户,向他们发送信息以提高你网站或企业的知名度。

【软件大小】 2.61M

【下载地址】 http://www.imcaster.com/Downloads/IMCastSetupEnt.exe 或 二哥推荐的教学篇里面下载

【加壳方式】 MoleBox 2.x.x -> Mole Studio [Overlay]

【保护方式】 MoleBox压缩壳

【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)

——————————————————————————–

【脱壳内容】

首先Peid查壳,为MoleBox 2.x.x -> Mole Studio [Overlay],OD载入运行,无任何异常,判断其为压缩壳。

前面二哥的修复方法大家都看到了,继然IAT可以加密就可以IAT解密,实际是跳过。

一口气写OD脱壳脚本写到16篇后发现这篇IAT被加密了,只写个找OEP的脚本没意思,要写脚本首先得会脱这个壳。

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。

IAT的起始地址是89000,大小B80

根据Imprec提示89110 处的指针被加密

就从这里入手,也可以随便找个加密指针处入手。

OD载入程序,命令行

Hw 489110

因为这个地址先前写入的地址是对的,然后程序将这个地址加密为Imprec不认识的东西,我们就要跟踪这个过程。

F9运行

004D1237 8B45 F8 mov eax,dword ptr ss:[ebp-8] ; imcast.00489110

004D123A 40 inc eax

004D123B 40 inc eax

004D123C 8945 F8 mov dword ptr ss:[ebp-8],eax

004D123F 0FB745 E2 movzx eax,word ptr ss:[ebp-1E]

004D1243 C1F8 08 sar eax,8

004D1246 0FB74D E2 movzx ecx,word ptr ss:[ebp-1E]

堆栈友好提示

0012FCD8 7FFDF000

0012FCDC 47D047D0

0012FCE0 47334733

0012FCE4 5EBC5EBC

0012FCE8 72BF72BF

继续3次F9,注意堆栈友好提示

004D13CE FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress

004D13D4 8B4D F0 mov ecx,dword ptr ss:[ebp-10]

004D13D7 8901 mov dword ptr ds:[ecx],eax

004D13D9 EB 26 jmp short imcast.004D1401

004D13DB 8B55 F0 mov edx,dword ptr ss:[ebp-10]

004D13DE 8B02 mov eax,dword ptr ds:[edx]

004D13E0 25 FFFF0000 and eax,0FFFF

004D13E5 50 push eax

004D13E6 8B4D F4 mov ecx,dword ptr ss:[ebp-C]

004D13E9 51 push ecx

004D13EA FF15 24804D00 call dword ptr ds:[; KERNEL32.GetProcAddress

堆栈友好提示

0012FE2C 77E7ED4C KERNEL32.SetFilePointer //这个和EAX中是一样的,都是正确指针

0012FE30 6BC4B4AC MFC42.#1576

0012FE34 0049428A imcast.0049428A

0012FE38 004943FE ASCII "KERNEL32.dll"

0012FE3C 00489110 imcast.00489110

0012FE40 77E60000 KERNEL32.77E60000

0012FE44 00493294 imcast.00493294

现在我们

dd 489110 往上看到489100被加密了,呵呵,我说过可以随便找个加密指针处入手。

004D13D9 /EB 26 jmp short imcast.004D1401

004D1401 8B4D EC mov ecx,dword ptr ss:[ebp-14] ; imcast.004943FE

004D1404 51 push ecx

004D1405 8B55 F0 mov edx,dword ptr ss:[ebp-10]

004D1408 52 push edx

004D1409 E8 12050000 call imcast.004D1920 //如果单步过了这里,就Over了。显然它是个加密Call,NOP掉程序正常运行,进去看看。

******************************************

004D1920 55 push ebp

004D1921 8BEC mov ebp,esp

004D1923 83EC 10 sub esp,10

004D1926 C745 FC 00000000 mov dword ptr ss:[ebp-4],0

004D192D 833D 30F04D00 00 cmp dword ptr ds:[4DF030],0

004D1934 75 0A jnz short imcast.004D1940

004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8] //注意这时EAX=77E7ED4C是正确指针

004D1943 8B08 mov ecx,dword ptr ds:[eax]

004D1945 51 push ecx

004D1946 8B0D 30F04D00 mov ecx,dword ptr ds:[4DF030]

004D194C E8 AB380000 call imcast.004D51FC

004D1951 8945 F8 mov dword ptr ss:[ebp-8],eax

004D1954 837D F8 00 cmp dword ptr ss:[ebp-8],0

004D1958 74 45 je short imcast.004D199F

004D195A 8D55 F0 lea edx,dword ptr ss:[ebp-10]

004D195D 52 push edx

004D195E 6A 04 push 4

004D1960 6A 04 push 4

004D1962 8B45 08 mov eax,dword ptr ss:[ebp 8]

004D1965 50 push eax

004D1966 FF15 70804D00 call dword ptr ds:[; KERNEL32.VirtualProtect

004D196C 85C0 test eax,eax

004D196E 75 0A jnz short imcast.004D197A

004D197A 8B4D 08 mov ecx,dword ptr ss:[ebp 8]

004D197D 8B55 F8 mov edx,dword ptr ss:[ebp-8]

004D1980 8B02 mov eax,dword ptr ds:[edx]

004D1982 8901 mov dword ptr ds:[ecx],eax //可恶这里; imcast.004D490E

EAX=004D490E dword ptr ds:[ecx] 是推算被加密的地址00489110,实际也是,看OD信息框就知道了。我们必需让EAX是正确的指针。我们看到004D1940 处EAX被赋值,而且当时的EAX是正确指针。

这就容易了

004D1940 8B45 08 mov eax,dword ptr ss:[ebp 8]

修改为

004D1940 8BC0 mov eax,eax ; KERNEL32.SetFilePointer

004D1942 90 nop

自给自足

004D1984 8D4D F4 lea ecx,dword ptr ss:[ebp-C]

004D1987 51 push ecx

004D1988 8B55 F0 mov edx,dword ptr ss:[ebp-10]

004D198B 52 push edx

004D198C 6A 04 push 4

004D198E 8B45 08 &n

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 手动脱壳入门第十六篇 MoleBox 2.x 续之Patch IAT加密

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录